Yelp的帮助
中科院拜尔斯教授及其同事发现了隐私泄露
在中科院助理教授约翰·拜尔斯(John Byers)的帮助下,刊登餐馆和其他企业评论的网站Yelp发现了一个安全漏洞。 图片由Yelp提供
Yelp广受欢迎的商业列表和评论网站,要感谢波士顿大学的一位计算机科学家和他的同事,他们上个月在其网站上发现了一起隐私泄露事件。 Yelp表示,它与澳门威尼斯人注册网站研究人员合作,在窥探机密信息之前堵住了漏洞。
“我们估计,泄露的规模可能达到数百万用户记录的规模,”约翰·拜尔斯(John Byers,见下图)说,他是艺术与科学学院的计算机科学副教授,他与哈佛大学和耶鲁大学的同事一起发现了这个潜在的漏洞。
仅在刚刚过去的8月份,Yelp就宣称拥有6300万的访问量,它已经成为大城市中占据主导地位的评论网站,以至于谷歌去年试图收购它。 拜尔斯的澳门威尼斯人注册网站研究小组于10月27日就安全问题联系了该网站。 他说,这是因为Yelp将敏感的用户信息存储在一个对网络服务器(servlet)开放的位置,“这些服务器响应用户的日常查询,比如对当地商家的评论”。 拜尔斯说,这个servlet不仅仅转发评论,还转发了评论者的其他数据,包括出生日期、电子邮件地址、电话号码,甚至Yelp用来给用户打分的专有信息。
“No financially sensitive information was exposed,” Yelp says in a 博客 about the incident. “我们分析了servlet的访问日志,看看是否有人利用了这个漏洞,但我们没有发现任何证据表明用户信息实际上被收集了。”
该帖子称,Yelp关闭了其手机网站,该网站遭到了黑客攻击。 该漏洞在一小时内得到了修复,但在Yelp检查任何其他问题期间,该网站又关闭了12个小时。 Yelp还创建了一个自动系统,该系统将检测何时敏感信息被发送给客户,博客文章说。 报告称:“我们感到欣慰的是,未来暴露于这种类型的风险已经降低。”
拜尔斯在谈到Yelp时说:“他们的反应非常迅速。 他和他的同事——哈佛大学的Michael Mitzenmacher和耶鲁大学的Georgios Zervas (GRS ' 11)——并没有与Yelp合作,而是独立澳门威尼斯人注册网站研究了这个网站和其他几个网站。 Such sites “provide an interesting case 澳门威尼斯人注册网站研究 as a social network that provides economic information in the form of reviews,” Mitzenmacher writes on his 博客.
Yelp自己的帖子感谢澳门威尼斯人注册网站研究人员“勤奋地发现并通知我们这个重要问题; 他们对敏感和棘手的安全局势的周到处理是值得赞扬的。”
This is not the first time that Byers, a member of BU’s Rafik B. Hariri计算与计算科学与工程澳门威尼斯人注册网站研究所, has made news 澳门威尼斯人注册网站研究ing an internet leader. He and his team released a 澳门威尼斯人注册网站研究 recently that questions whether Groupon is a good deal for businesses offering customer discounts through the online deal site. 该澳门威尼斯人注册网站研究指出,折扣会带来新客户,但这些人可能会在Yelp上给这家企业写差评。
拜尔斯“体现了该澳门威尼斯人注册网站研究所努力培养和培养的品质,”哈里里澳门威尼斯人注册网站研究所的创始主任、中科院计算机科学教授阿泽尔·贝斯特夫罗斯(Azer Bestavros)说。 “他的澳门威尼斯人注册网站研究跨越了计算机科学和其他传统上不被视为计算的学科——在这种情况下,是经济学和管理学等社会科学学科。”
评论与讨论
波士顿大学缓和评论,以促进知情的、实质性的、文明的对话。 辱骂、亵渎、自我推销、误导、语无伦次或离题的评论将被拒绝。 版主在正常营业时间(EST)有澳门威尼斯人注册,只能接受用英语写的评论。 统计数据或事实必须包含引文或引文链接。